Угрозы 2014: что реально угрожает бизнесу

- Виталий, расскажите, пожалуйста, какая проблема в сфере ИБ стоит перед банковской отраслью, и перед Росбанком в частности, наиболее остро?
- С точки зрения бизнеса в первую очередь это соблюдение правил и стандартов регулирующих органов. А также, учитывая специфику бизнеса, противодействие мошенничеству. Хотел бы отметить рост приоритета ИБ за последние несколько лет, и сейчас ИБ является одним из основных критериев принятия решений по любым изменениям и нововведениям.

- Какие технологии, разработки предлагаются на рынке для решения одной из главных проблем для финансовой отрасли - мошенничества?
- Если говорить о противодействии мошенничеству, то это внедрение различных IDM-систем, то есть централизованного управления доступом (автоматическое предоставление доступа и отзыв прав, блокировка учетных записей в случае кадровых изменений), которые позволяют анализировать и выявлять токсичные комбинации ролей, когда пользователь может сам подтверждать собственные операции. На рынке существуют решения различных вендоров для автоматизации управления риском в этих процессах. На ступень выше находятся специализированные системы выявления и предотвращения мошенничества (Fraud detection and prevention), но стоимость таких решений зачастую не соизмерима с риском фрода, поэтому эта ниша интересна только крупнейшим корпорациям.

– Каким образом у вас решена проблема несанкционированного доступа?
– В соответствии с нашей методологией у нас выстроен ряд контрольных мер, в частности на периодической основе мы пересматриваем права доступа в наиболее критичных системах, проводим так называемую ресертификацию с бизнес-владельцем системы, где пересматриваются списки пользователей, и по каждому конкретному сотруднику подтверждаем необходимость наличия полномочий. Банк давно созрел для автоматизации этих процессов, и сейчас мы приступаем к внедрению IDM-решения, целью которого является снижение стоимости поддержки и стоимости аудита прав, а также снижение рисков несанкционированного доступа.

– Я так понимаю, что речь идет о парольном доступе. Расскажите, пожалуйста, подробнее.
– Раньше парольные политики не были применены в части систем Росбанка. И в рамках проекта ИБ были произведены соответствующие доработки. Конечно, мы заранее сообщили о готовящихся изменениях пользователям. Любое нововведение нужно внедрять крайне аккуратно, так как пользователи любое усложнение воспринимают очень негативно.

Сейчас поступает все больше запросов от бизнеса на внедрение решений, позволяющих снизить количество паролей, которые необходимо держать в уме, – для некоторых пользователей счет идет на десятки. Внедрение решений класса SSO (Single Sign On), а также переход на доменную авторизацию (там, где это применимо) могут существенно облегчить жизнь пользователям и уменьшить расходы на поддержку, да и количество стикеров, приклеенных к мониторам, должно снизиться.

– Какие меры необходимо принять для роста ИБ в финансовом секторе?
– На мой взгляд, проблема в менталитете руководителей, которые принимают решения. Если брать зарубежный опыт, то IТ-департамент сам просит департамент информационной безопасности предложить решение для снижения рисков. В России эта ситуация прямо противоположная. И до тех пор пока руководство или топ-менеджмент не начнет понимать сам процесс управления риском, что, помимо того, что ты зарабатываешь, ты можешь экономить, уменьшая потери, до этого момента вряд ли что-то кардинально изменится.

Возможно, с ростом количества инцидентов ИБ в России, информация о которых стала доступна публике, важность ИБ в процессе Due Diligence вырастет, и организации начнут активнее инвестировать в это направление.

В России для роста также не хватает штатных популяризаторов ИБ, которые могут объяснять бизнесу риски информационной безопасности. Коммуникация очень слабая между ИБ, IТ, и бизнесом. Зачастую, ИБ преподносят как силовую функцию (засекретить, запретить, наказать), на мой взгляд, это неконструктивный подход и он приводит к тому, что и бизнес, и IТ, и конечные пользователи прекращают диалог с представителями ИБ. Внедрять изменения становится сложнее, и ИБ-подразделение начинает вариться в собственном соку, делая безопасность ради безопасности:

• внедряя средства защиты, снижающие риски, которые не интересны бизнесу;
• разрабатывая политики, которые не отражают интересы бизнеса и в то же время не известны конечным пользователям. Рапортуя при этом, что уровень безопасности высок, по критериям, опять же неинтересным бизнесу.

– Каких внешних угроз нужно опасаться бизнесу в 2014 году?
– В последнее время много говорили о контроле информационных потоков спецслужбами. Не думаю, что это существенно повлияло на компании с высоким уровнем зрелости ИБ, но представляю, как этот рычаг можно будет использовать менеджерам информационной безопасности и IТ-директорам менее передовых компаний для обоснования дополнительных инвестиций в IТ и ИБ, а также поставщикам решений и интеграторам в маркетинговых целях.

Ландшафт угроз для бизнеса в 2014 г. существенно не изменится по сравнению с текущим годом: так же болезненно будет переноситься DDoS. Уверен, что мы услышим о еще нескольких крупных утечках данных – как в результате действий мошенников, монетизирующих этот бизнес, так и в результате действий хактивистов.

– Помимо внешних угроз, внутри любого бизнеса существует "бомба замедленного действия" – это новые технологии или их отсутствие. Каковы ваши прогнозы по внутренним угрозам, которые могут встать перед бизнесом в 2014 году?
– Не думаю, что ландшафт внутренних рисков ИБ существенно изменится в 2014 г. Помимо внутреннего мошенничества, я бы обозначил два направления, которые так или иначе могут привести к реализации ИБ-рисков.

1. Недостаточное качество процессов управления проектами и изменениями – анализ рисков не проводится, а требования информационной безопасности не задаются на этапе формирования бизнес-требований, в результате бизнес получает технологию, в которой отсутствуют элементарные механизмы ИБ (прозрачная модель управления доступом, журналирование операций, строгая аутентификация для критичных операций, требования по шифрованию, парольные политики) и опускается вопрос обеспечения доступности сервиса, который будет обеспечиваться приложением.

2. Отсутствие IТ-стратегии, в результате чего компания живет на морально устаревших платформах, которые значительно усложняют любую интеграцию (зачастую без поддержки разработчика), а существенная часть IТ-ресурсов и бюджета направлены на латание дыр и тушение пожаров, нежели на качественное развитие, оптимизацию и снижение расходов.

Полагаю, что первый пункт стоял у истоков многих крупных взломов и утечек данных. А второй является головной болью всех без исключения IТ-директоров. Это не новые проблемы, но зачастую корпоративной сознательности не хватает для их решения.

Если говорить о крупных компаниях, особенно о банках, то полезным инструментом может быть функция внутреннего аудита, которая и своевременно выявит проблему, и направит менеджмент в русло правильных управленческих решений. Но в любом случае управление этими рисками – сложная и длительная задача, которая, помимо человеческих и финансовых ресурсов, требует развития риск-ориентированной культуры в компании, а особенно в ее руководстве.

Вне зависимости от того, внедряется новая система или проходит существенная перестройка бизнес-процессов (особенно если звучит слово "аутсорсинг"), основная задача руководителя службы ИБ – держать руку на пульсе изменений в компании, и вовремя объяснить бизнесу, какие риски сопутствуют изменениям и как этими рисками можно управлять. Пример с доступностью системы очень наглядный и его достаточно легко перевести на понятный бизнесу язык – язык денег (в очень упрощенном виде достаточно поделить среднюю прибыль за период на время простоя, и сопоставить эту сумму с оценкой инвестиций на повышение отказоустойчивости инфраструктуры). В своей практике я встречал случаи, когда основные АБС или системы интернет-банкинга не имели должной отказоустойчивости только из-за непонимания этих рисков (и нежелания инвестировать) менеджментом еще на этапе проектирования систем.

В Росбанке, в соответствии с проектной методологией группы, анализ рисков информационной безопасности является частью обязательной проектной документации (так называемый security folder). В этом документе описываются присущие риски, требования к средствам их минимизации и остаточные риски. Результаты этой оценки подписываются владельцем бизнес-функции, то есть осознанно принимаются. Никакой топ-менеджер в трезвом уме не станет подписывать документ, в котором говорится, что "у нас все плохо и мы ничего не будем с этим делать".

Наличие security folder в проектах – своеобразный KPI для службы ИБ, и это также требование группы.